Назад | Перейти на главную страницу

Как поддерживать соответствие PCI на сервере LAMP, когда репозитории не успевают за версиями

Мы запускаем Ubuntu Lucid 10.0.4 как основу нашей среды LAMP. Мы пытаемся стать совместимыми с PCI, чтобы мы могли передавать информацию CC через наш сервер. Мы провели стороннее сканирование наших серверов, чтобы начать процесс сертификации, и обнаружили ошибки, касающиеся версий PHP 5 и Apache. Последняя версия PHP, размещенная в нашем официальном репозитории lucid, примерно на 10 версий ниже, чем требуется для соответствия требованиям PCI.

Как выполнить обновление, чтобы соответствовать требованиям PCI?

Нам нужно перейти с php 5.3.2 на php 5.3.15

Как и до apache 2.2.23

Я искал ответ повсюду и не нашел реалистичного ответа. Некоторые рекомендуют компилировать вручную, что звучит как кошмар, а другие рекомендуют PPA, что звучит небезопасно. Что нам делать?

Дистрибутивы Enterprise Linux справляются с этим путем резервного копирования исправлений безопасности из новой версии в исходную версию, для которой заблокирован ваш дистрибутив. Вы устанавливаете обновленные системные пакеты, содержащие перенесенные исправления безопасности, и отмечаете это в своем отчете поставщику соответствия.

Каждый полученный вами отчет о потенциальной уязвимости системы безопасности должен включать номер CVE. Посмотрите этот номер в Уведомления о безопасности Ubuntu (смотрите также Red Hat CVE для RHEL / CentOS), чтобы определить обновления, необходимые вашей системе.

В качестве примечания: если у вас есть веб-сайт на основе PHP, вам часто нужно Исправлена ​​ошибка обновления в дополнение к исправлениям безопасности. Дистрибутивы почти никогда не распространяют обновления с исправлениями ошибок, если только они не вызывают сбоев или проблем с безопасностью, а иногда и тогда. В этом случае часто разумнее использовать PPA, который отслеживает желаемую версию PHP (например, 5.3 или 5.4) вместо системных пакетов.